实验06主机发现.docVIP

第6章 主机发现 6.2.1 背景描述 黑客入侵网络的过程一般是首先利用扫描工具搜集目标主机或网络的详细信息，进而发现目标系统的漏洞或脆弱点，然后根据脆弱点的位置、详细说明展开攻击。安全管理员可以利用扫描工具的扫描结果信息及时发现系统漏洞并采取相应的补救措施，免受入侵者攻击。在黑客和安全管理员利用扫描工具搜集主机信息时，活动主机探测是扫描工具中工作的第一步，因为只有在去收集网络中存活主机的信息才有意义, 并且只有这样才能提高扫描的效率。 攻击者在知道了IP地址范围后，攻击者想知道哪些机器是活动的，哪些不是。公司里一天中不同的时间有不同的机器在活动。一般攻击者在白天寻找活动的机器，然后在深夜再次查找，他就能区分工作站和服务器。服务器会一直被使用，而工作站只在正常工作日是活动的。, 并记录目标主机的响应。通过分析响应的数据包来判断目标主机是否存活。 活动主机探测技术主要有： 1．ICMP Ping。向目标主机发送ICMP 回显请求( echo request ,ICMP 类型为8) 报文, 期待从运行的主机得到ICMP回显应答( echo reply, ICMP type 0) 报文, 从而判断出目标主机的存活状态。通过采用并行轮转形式发送大量的ICMP ping 请求, 可以用来对一个网段进行大范围的扫射, 由此来确定主机存活情况。尽管并行轮转探测的准确率和效率都比较高, 但是一般的